使用“信号”进行加密聊天？你不应该跳过它的下一次更新

信号，这是举报人爱德华·斯诺登推荐的流行端到端加密消息应用程序。

其中一个漏洞可能允许潜在攻击者向安卓用户发送的加密邮件的附件中添加随机数据，而另一个漏洞可能允许黑客远程破坏易受攻击的设备。

这些漏洞刚刚被修补，但Github开源存储库中尚未提供Signal的更新版本，而谷歌的Android应用程序官方Play Store中则没有，这使得数百万关注隐私的人容易受到攻击。

这意味着，如果你像其他数百万安卓用户一样，通过谷歌Play Store安装了信号消息应用程序，你仍然容易受到黑客的攻击。

Signal由开源软件集团open Whisper System开发，是一款免费、开源的消息应用程序，专门为Android和iOS用户设计，用于发送安全、加密的消息和语音通话。

Android版Signal的缺陷包括：

• 消息身份验证绕过漏洞
• 远程崩溃错误

消息身份验证绕过了信号中的漏洞

研究人员Jean-Philippe Aumasson和Markus Vervier在查看Signal for Android使用的Java代码时发现了绕过消息认证的漏洞。

该漏洞不易被利用。只有能够破坏信号服务器或监视信号用户之间传输的数据（中间人攻击）的攻击者才能将伪随机数据附加到合法附件中。

该漏洞是由一个整数溢出漏洞造成的，只有在信号消息中附加了一个大小至少为4G的超大文件时才会触发该漏洞。但是，这意味着什么？

实际上，作为标准加密方案的一部分，加密消息服务使用消息身份验证码（MAC）对消息进行身份验证—；换句话说，确认来自发送者的消息在传输过程中未被更改。

但是，对于附件，Signal不会验证整个文件的真实性；相反，它只检查其中的一小部分，使得黑客可以将伪随机数据附加到MAC无法检测到的合法附件上。

为了成功进行攻击，攻击者可以利用Signal的文件压缩功能将其恶意附件的大小减少到可管理的4 MB。

在与Ars Technica交谈时，奥马森说他在以下代码行中发现了整数溢出漏洞：

int remainingData=（int）文件。长度（）-mac。getMacLength（）；

• “值”文件。length（）'是一个以64位编码的数字（类型为'long'）。
• 接收变量“remainingData”是一个32位编码的数字（类型为“int”）。

“因此，当'file.length（）'比32位数字的长度长时，'remainingData'（剩余处理的字节数）的值将不正确，因为它将比文件的实际大小小得多，”奥马森解释说。因此，当Signal验证加密的真实性时，文件的很大一部分将被忽略。Signal只会检查文件的（小）开头，而用户实际上会收到大得多的文件

虽然Signal使用端到端加密来加密发送方设备上的消息，并仅在接收方端对其进行解密，但加密的消息仍会通过服务器，允许攻击者通过黑客攻击或冒充服务器，然后篡改合法的邮件附件来执行邮件身份验证绕过攻击。

虽然攻击很容易实施，但国家支持的攻击者不难冒充可信证书颁发机构（CA），或诱骗受害者在其设备上安装恶意证书，从而成功绕过传输层安全（TLS）保护。

此外，由于大量安全专业人士和隐私倡导者使用了Signal，该应用程序一直被列为民族国家行为者的优先名单。尽管如此，他们似乎不太可能利用这种缺陷。

“这是一个非常棒的bug报告，但是我们认为它的影响现在是低严重性的。它不允许攻击者破坏了服务器来读取或修改附件，而只是将一个4GB的不可预测的随机数据追加到发送端附件的末尾，”公开耳语系统的创始人Moxie Marlinspike说。

“虽然这会导致拒绝服务，以不可预测的方式有效地破坏文件，使其过大，无法在任何Android设备上打开，但破坏服务器的攻击者只需阻止您的附件请求，就可以更容易地拒绝服务。”

研究人员发现的第二个漏洞可能使攻击者能够在受害者的设备上远程执行恶意代码，而第三个漏洞则使攻击者能够进行简单的远程崩溃。

有关漏洞的更多详细信息，请访问研究人员发布的博客文章。

研究人员在9月13日私下透露了Open Whisper系统的所有漏洞，该公司已经发布了Github的更新，但仍需在Play Store上发布。

“结果不是灾难性的，但表明，像任何软件一样，信号也不是完美的，”奥马森说。“Signal引起了许多安全研究人员的注意，令人印象深刻的是，直到今天还没有发布任何漏洞。这是对Signal的支持，我们将继续相信它。”

Aumasson和Vervier现在正在测试WhatsApp和Facebook Messenger中同样依赖信号代码的漏洞。